Fichier lisezmoi du module de provisioning basé sur les rôles de Novell Identity Manager 3.7

18 septembre 2009

Ce document répertorie les problèmes connus du module de provisioning basé sur les rôles de Novell Identity Manager 3.7. Reportez-vous à la Section 2.0, Problèmes résolus dans la version 3.7 pour obtenir la liste des problèmes du module de provisioning basé sur les rôles de IDM 3.6.1 qui ont été corrigés dans la présente version.

Cette documentation est régulièrement mise à jour. Des corrections et des améliorations sont apportées en fonction des besoins. Pour obtenir des mises à jour, consultez le site Web de la documentation du module de provisioning basé sur les rôles version 3.7. Le manuel User Application: Administration Guide (Guide d'administration de l'application utilisateur) et le User Application: Migration Guide (Guide de migration de l'application utilisateur), en particulier, décriront d'autres fonctions lors d'une prochaine révision. Pour obtenir les notes du fichier lisezmoi de Designer 3.5, reportez-vous au document Designer 3.5 Readme (Fichier lisezmoi de Designer 3.5).

1.0 Problèmes connus de la version 3.7

Les sections suivantes décrivent les problèmes connus de la version 3.7 du module de provisioning basé sur les rôles :

1.1 Prise en charge de thèmes

Les thèmes suivants sont pris en charge dans la version 3.7 :

  • BlueGloss

  • Neptune (nouveau thème proposé dans cette version)

Plusieurs thèmes des versions précédentes de l'application utilisateur ont été désapprouvés dans la présente version. Il s'agit des suivants :

  • Manilla

  • Linen

  • Medico

  • IDMStandard

Ces thèmes ne sont plus pris en charge par la version actuelle. Vous ne pouvez sélectionner aucun de ces thèmes dans la page Administration du thème sous l'onglet Administration.

Les thèmes Manilla, Linen, Medico et IDMStandard vont probablement être supprimés dans une prochaine version. Si vous utilisez l'un de ces thèmes, vous devrez les migrer vers la version 3.7 de l'application utilisateur. Si vous employez un thème personnalisé basé sur l'un des thèmes désapprouvés, vous devez procéder comme suit pour migrer le thème :

  1. Recherchez dans le fichier theme.css de votre thème personnalisé tous les sélecteurs personnalisés (nouveaux ou modifiés) à partir de ce thème et copiez-les dans BlueGloss ou dans Neptune.

  2. Enregistrez un nouveau thème personnalisé qui désormais comporte vos personnalisations ainsi que les sélecteurs du thème BlueGloss ou Neptune.

1.2 Procédure pour autoriser un utilisateur à modifier ses propres informations

Cette section décrit les étapes requises pour autoriser un utilisateur standard à modifier ses propres informations dans le portlet Détails de l'application utilisateur 3.0.x de Novell.

Pour autoriser un utilisateur à modifier ses propres informations :

  1. Dans iManager, accédez à Configurer -> Serveur iManager -> Configurer iManager -> Onglet Divers.

    1. Cochez la case en regard de l'option Activer "[ceci]".

    2. Cliquez sur Enregistrer.

  2. Dans iManager, allez dans Afficher les objets et accédez au conteneur concerné (par ex. : support-idm.novell).

    1. Sélectionnez le conteneur dans lequel se trouvent les utilisateurs (par ex. : utilisateurs.support-idm.novell) et choisissez Modifier les ayants droit.

      1. Cliquez sur le bouton Ajouter un ayant droit et sélectionnez [Ceci].

      2. Cliquez sur OK.

    2. Sélectionnez le lien Droits assignés à droite de [Ceci].

      1. Ne modifiez ni [Tous les droits d'attribut] ni [Droits d'entité].

      2. Ajoutez l'attribut Classe d'objet, sélectionnez les droits d'écriture et auto-assignés, puis activez l'option Hériter.

      3. Ajoutez les attributs qui vous intéressent (par ex., Titre), sélectionnez les droits d'écriture et auto-assignés, puis activez l'option Hériter.

      4. Cliquez sur Terminé.

      5. Cliquez sur Appliquer.

      6. Cliquez sur OK.

  3. Dans Designer pour Novell Identity Manager, assurez-vous que l'option « Éditer » des attributs ajoutés à l'étape II B.3. ci-dessus est activée dans la couche d'abstraction d'annuaire de l'entité à modifier. Si l'attribut n'est pas modifiable, activez l'option Éditer et procédez au déploiement.

  4. Redémarrez le serveur d'applications JBoss.

  5. Testez l'application.

1.3 Le lecteur NVDA lit le mot de passe dans Internet Explorer 7

Dans Internet Explorer 7, si un utilisateur entre son mot de passe dans l'écran de login et qu'il appuie sur la touche Retour arrière alors que le curseur est toujours dans le champ du mot de passe, le lecteur NVDA lit les caractères entrés et révèle ainsi le mot de passe. Ce comportement est différent dans FireFox.

Il s'agit d'un problème connu avec le lecteur NVDA.

1.4 L'utilisateur ne parvient pas à modifier son mot de passe dans FireFox 2.0

Dans Firefox 2.0.0.2 et 2.0.0.11, l'utilisateur ne parvient pas à modifier son propre mot de passe s'il utilise le lien Éditer le mot de passe sous Gestion des mots de passe.

Ce problème survient lorsque vous effectuez les étapes suivantes dans Firefox 2.0.0.2 et 2.0.0.11 :

  1. Loguez-vous à l'application utilisateur à l'aide de références d'utilisateur valides.

  2. Cliquez sur Self-service d'identité.

  3. Cliquez sur le lien Éditer le mot de passe sous Gestion des mots de passe.

  4. Entrez les détails dans les champs Ancien mot de passe, Nouveau mot de passe et Retapez le mot de passe, puis cliquez sur le bouton Soumettre.

Une fois ces étapes effectuées, un message confirmant la modification du mot de passe doit s'afficher. Or, dans ce cas, aucun message ne s'affiche et le mot de passe n'est pas modifié. La page reste identique. Si l'utilisateur clique ensuite sur un autre lien dans l'application utilisateur (comme Organigramme), il est redirigé vers la page de login.

1.5 La sélection du champ Parcourir lance la fonctionnalité de navigation avec FireFox 3

Lorsque vous exécutez un navigateur FireFox 3, si vous accédez à la page de la configuration SSO sous l'onglet Administration et que vous cliquez sur les champs de navigation, l'interface utilisateur affiche la fonctionnalité de navigation. Il s'agit d'un problème connu de GWT. Pour plus d'informations, reportez-vous au document https://bugzilla.mozilla.org/show_bug.cgi?id=258875.

1.6 Une page d'erreur s'affiche lors de l'enregistrement des paramètres régionaux dans FireFox 2

Dans FireFox 2.0.0.11, si vous essayez d'enregistrer des paramètres régionaux, un message d'erreur peut s'afficher à la place d'une confirmation. Une fois ce message affiché, si vous cliquez sur n'importe quel lien ou onglet dans l'application utilisateur, la page de login apparaît. Si vous envisagez d'utiliser FireFox 2, vous devez utiliser la dernière version (2.0.0.20) car FireFox ne prend plus en charge la version 2 de son navigateur.

1.7 Suppression des portlets Novell GroupWise

Dans la version 3.7.0 du module de provisioning basé sur les rôles (RBPM - Roles Based Provisioning Module) de Novell Identity Manager, les portlets propriétaires Novell GroupWise ont été entièrement supprimés. Si vous effectuez une mise à niveau depuis une version précédente du RBPM, les portlets Novell GroupWise sont supprimés lors de ce processus.

Les portlets Open Source JSR-168 Novell GroupWise sont disponibles. Pour en savoir plus sur ces derniers, consultez le site http://developer.novell.com/wiki/index.php/Novell_Collaboration_Portlets.

Les portlets de collaboration Novell contiennent des instructions concernant leur procédure de déploiement sur les portails JBoss et Liferay.

Pour l'instant, les portlets de collaboration Novell GroupWise ne s'exécutent pas sur le portail RBPM. Nous avons consigné le bogue 476982 à l'attention des développeurs responsables de ces portlets afin de résoudre ce problème. Si vous devez faire appel aux portlets GroupWise avec le portail RBPM, vous devez utilisez à la fois le portail RPBM et l'un des deux portails susmentionnés jusqu'à la résolution du problème de blocage. Vous pouvez aussi essayer de recourir à la version 3.7.0 du RPBM et une version précédente qui contient encore les portlets propriétaires Novell GroupWise.

1.8 Le fichier WAR de mot de passe oublié externe doit être renommé manuellement dans le fichier de traitement par lots configupdate

Lors de l'exécution du fichier configupdate en mode autonome, si l'utilisateur coche la case « Utiliser le WAR de mot de passe externe », le fichier WAR externe est renommé selon le nom spécifié dans le champ du lien Mot de passe oublié. Par exemple, si le lien Mot de passe oublié est entré comme suit : http://localhost:8080/NewExtWart/jsps/pwdmgt/ForgotPassword.jsp, alors le fichier WAR de mot de passe oublié externe est renommé en NewExtWar.war.

Après cette étape, à la fin du processus configupdate, si le fichier est bien renommé, le message suivant s'affiche :

Renaming external war file from
/data/novell/trunk/runtime/build-library/ExtPwdMgt.war to
/data/novell/trunk/runtime/build-library/NewExtWar.war is successful, please
update configupdate.sh or configupdate.bat parameter -extFile to reflect
renamed war name.

Le fichier WAR doit être renommé manuellement. Pour ce faire, vous devez éditer le fichier configupdate.sh ou configupdate.bat afin de modifier le paramètre -extFile pour qu'il tienne compte du nouveau nom du fichier WAR de mot de passe oublié externe. Pour suivre l'exemple susmentionné, vous devez changer le paramètre comme suit :

-extFile /data/novell/trunk/runtime/build-library/NewExtWar.war in above case.

1.9 Une erreur s'affiche lors de la récupération du rapport de liste de rôles pour le rôle métier dans Internet Explorer 7 avec Adobe Reader 8.0

Dans Internet Explorer 7, si vous essayez de générer un rapport de liste de rôles avec le niveau Métier comme niveau de rôle alors que vous utilisez Adobe Reader 8.0, le message d'erreur suivant s'affiche :

Internet Explorer cannot display the page

Il s'agit d'un problème connu avec Adobe Reader 8.0. Pour le corriger, vous devez mettre à jour votre version d'Adobe Reader.

1.10 Le respect de la casse doit être homogène dans les bases de données MySQL lors d'une migration de la version 3.6 vers 3.7

Lors de la migration de la version 3.6 du RBPM vers la version 3.7, vous devez vous assurer que le respect de la casse est cohérent entre les bases de données 3.6 et 3.7. En outre, vous devez utiliser le mode ansi, ainsi que les mêmes valeurs de classement et de jeu de caractères.

Pour définir le respect de la casse, vous devez vérifier que la valeur de lower_case_table_names est homogène entre les versions des bases de données lors de la migration. Voici un exemple de définition de cette valeur :

set-variable=lower_case_table_names=0

1.11 Problème de mise en cache avec des assignations récemment supprimées

Si vous créez une assignation de rôle ou de ressource que vous supprimez par la suite, vous obtenez un message confirmant cette suppression, mais l'assignation figure toujours dans la liste. Si vous rafraîchissez la page, vous verrez probablement que l'assignation a bien été supprimée. Il s'agit d'un problème de mise en cache.

1.12 Le lien de service de ressource SOAP est manquant sous l'onglet Administration

L'onglet Administration de l'application utilisateur n'inclut pas de lien de navigation gauche vers le nouveau service de ressource. Cette fonctionnalité n'est pas disponible dans cette version. Elle sera probablement ajoutée dans une prochaine version.

1.13 Dans Firefox 2, certains champs de texte des assignations de rôles et de ressources ne contiennent pas de curseur

Dans FireFox 2, certains des champs de la boîte de dialogue Filtre pour les assignations de rôles et de ressources n'affichent pas le curseur lorsque vous cliquez dessus. Il s'agit d'un bogue connu de FireFox 2.

1.14 Les requêtes de rôles non traitées ne sont jamais réévaluées après le redémarrage du pilote

Les requêtes de rôles non traitées (état = 0) ne sont parfois pas réévaluées après le redémarrage du pilote de service de rôle. Par exemple, supposez qu'un pilote de service de rôle (TestRoleDriver) pointe vers une application utilisateur A (configuration incorrecte). L'application utilisateur pointant sur le pilote B soumet la requête d'assignation d'un rôle à un utilisateur. Aucun pilote de rôle n'étant configuré pour le pilote B de l'application utilisateur, la requête n'est jamais relevée. Le pilote TestRoleDriver est reconfiguré pour pointer sur le pilote B de l'application utilisateur et redémarré. Toutefois, la valeur de l'état des requêtes de rôles existantes correspond toujours à 0 et les requêtes ne sont pas traitées.

1.15 Le rafraîchissement du navigateur vous déconnecte du mode de gestion

Si vous êtes en mode de gestion et que vous rafraîchissez le navigateur, vous êtes déconnecté de ce mode, car l'état de ce dernier est stocké dans JavaScript.

Ce comportement se produit dans Internet Explorer et FireFox.

1.16 Obligation de définir NDSD_TRY_NMASLOGIN_FIRST sur Vrai dans eDirectory

Si vous effectuez une installation par défaut de eDirectory et appliquez une stratégie de mot de passe (envoi du mot de passe par courrier électronique par rapport à l'opération utilisateur) à un utilisateur existant, puis que vous vous loguez sous son identité et exécutez une procédure de mot de passe oublié, il se peut qu'un message indiquant que Le mot de passe universel n'est pas défini après les réponses aux questions de vérification d'identité s'affiche.

Pour résoudre ce problème, vous devez effectuer les deux étapes suivantes :

  1. Vérifiez que eDirectory présente la version 8.8 ou supérieure.

  2. Modifiez le script de démarrage de eDirectory ndsd, qui décrit la condition définissant NDSD_TRY_NMASLOGIN_FIRST comme suit :

    #if [ -d /opt/novell/xad/lib/nds-modules ]; then
    NDSD_TRY_NMASLOGIN_FIRST=true
    export NDSD_TRY_NMASLOGIN_FIRST
    #fi
    

REMARQUE :si Domain Services pour Windows est installé par OES2, vérifiez que le répertoire /opt/novell/xad/lib/nds-modules existe. S'il existe déjà, vous ne devez pas apporter la modification spécifiée à la seconde étape.

1.17 Certains caractères ne sont pas pris en charge dans les noms de rôle et de SoD

Lorsque vous créez une contrainte de rôle ou de séparation des tâches (SoD - Separation of Duties), vous devez veiller à ne pas inclure certains caractères. Les caractères suivants ne sont pas pris en charge dans les noms de contrainte de rôle et SoD :

< > , ; \ " +  # = / | & *

Les espaces en début ou en fin de nom sont automatiquement supprimés.

1.18 Les chargés d'attestation dans les détails de la requête ne sont pas filtrés en fonction des résultats de l'attestation

Sous l'onglet Conformité > Afficher l'état de la requête d'attestation > Détails de la requête, le filtre par résultat de l'attestation ne fonctionne pas toujours si vous modifiez également les critères de filtre d'état. Certains chargés d'attestation ne correspondant pas aux critères de filtre restent affichés. Solution : choisissez État et cliquez sur Filtre, puis sélectionnez Résultat de l'attestation et cliquez de nouveau sur Filtre.

1.19 Novell Secure Login 6.1 et 7.0 sont incompatibles avec le RBPM

Des problèmes surviennent si vous utilisez Novell Secure Login 6.1 et 7.0 avec le module de provisioning basé sur les rôles dans la zone de gestion des mots de passe. Ces problèmes seront traités dans une prochaine version de Novell Secure Login.

1.20 En mode de gestion, le rôle sélectionné par l'utilisateur n'est pas sélectionné via la fonction de frappe intuitive

La fonctionnalité de frappe intuitive pour les rôles ou les ressources peut poser problème en cas de sélection du dernier élément dans la liste correspondante, si la dernière valeur contient le moins de lettres et ne compte qu'un seul mot. Par exemple, supposez que vous tapez Test et que les valeurs ci-dessous apparaissent dans la liste dans l'ordre suivant :

Test2
Test

Si vous choisissez Test, puis cliquez ailleurs, Test2 est sélectionné. L'utilisateur final peut contourner ce problème en recherchant Test à l'aide de l'icône de recherche au lieu de taper Test. L'administrateur de rôles peut essayer d'ajouter des rôles temporaires commençant par Test, puis les supprimer, afin de résoudre le problème. Si la liste est triée correctement (comme indiqué ci-dessous), ce problème ne se reproduira pas :

Test
Test2

1.21 Le filtre par résultat de l'attestation ne fonctionne pas lorsque les critères de filtre d'état sont modifiés

Dans l'écranAfficher la requête d'attestation>Détails de la requête sous l'onglet Conformité, la fonction Filtrer par résultat de l'attestation n'est pas toujours opérationnelle lorsque l'utilisateur modifie également les critères de filtre d'État. Certains chargés d'attestation ne correspondant pas aux critères de filtre restent affichés. Solution : choisissez État et cliquez sur Filtre, puis sélectionnez Résultat de l'attestation et cliquez de nouveau sur Filtre.

1.22 Le filtre de timeout ne fonctionne pas dans les notifications de tâches pour l'utilisateur final

Le filtre de timeout ne fonctionne pas dans la liste Notifications de tâches du Tableau de bord de travail lors du login d'un utilisateur final. Il en va de même lorsqu'un gestionnaire d'équipe de provisioning se logue alors qu'il ne gère personne d'autre. En revanche, s'il gère un autre utilisateur, le filtre de timeout fonctionne comme il se doit. Il est également opérationnel en cas de login d'un administrateur de provisioning ou d'un gestionnaire de provisioning.

1.23 L'interface utilisateur peut générer des messages d'erreur inutiles dans FireFox 3.0.5

Si vous utilisez FireFox 3.0.5 pour parcourir le tableau de bord de travail et interagir avec d'autres parties de l'application, il se peut que le message d'erreur suivant s'affiche : Autorisation d'obtention de la propriété Window.JUICE refusée. Le message n'indique pas une erreur réelle ni un problème avec l'application. Pour corriger ce comportement, procédez à une mise à niveau vers la dernière version de FireFox 3.0.

1.24 Double-cliquer sur un lien peut ouvrir plusieurs instances d'une boîte de dialogue

Lorsque vous double-cliquez sur des liens dans les sections de rôles, de ressources et de SoD de l'application utilisateur, il se peut que plusieurs boîtes de dialogue s'ouvrent. Par exemple, si vous sélectionnez un rôle et double-cliquez sur le lien d'édition, deux instances de la boîte de dialogue risquent de s'afficher. Pour résoudre ce problème, fermez tout simplement la boîte de dialogue superflue.

1.25 Une page vierge s'affiche si le nom de login contient * ou +

Si le cn d'un utilisateur contient * ou +, l'application utilisateur affiche une page vierge lors du login. N'utilisez donc pas ces caractères dans un nom de login.

1.26 Le pilote de rôle et de ressource peut ne pas traiter les requêtes existantes au démarrage initial

Les requêtes de rôles créées par l'application utilisateur avant le premier démarrage d'un pilote de rôle et de ressource ne sont pas traitées. Dans l'application utilisateur, l'état de ces requêtes est Exécution : nouvelle requête. Si l'application utilisateur contient des requêtes avec cet état, elles peuvent être traitées en synchronisant le pilote de rôle et de ressource. Notez toutefois que le processus de synchronisation peut prendre un certain temps selon la taille de l'arborescence.

1.27 Activation de la mise en cache du navigateur pour de meilleures performances client

RBPM 3.7 utilise GWT (Google Web Toolkit), qui stocke le code de l'application dans un fichier destiné à être mis en cache par le navigateur de l'utilisateur plutôt que d'être chargé pour chaque session utilisateur. Par conséquent, il est recommandé d'activer la mise en cache sur le navigateur afin d'optimiser les performances.

1.28 Les sélecteurs d'objets ne s'affichent pas toujours dans l'IU d'administration de l'état de synchronisation des mots de passe dans Internet Explorer 7 ou 8

Un administrateur, qui utilise Internet Explorer 7 ou 8 et qui essaie d'ajouter ou de mettre à jour une application de l'état de synchronisation du mot de passe dans la page de l'application utilisateur Administration>Configuration de l'application >État de synchronisation des mots de passe, doit compléter les détails du GUID DirXML-PasswordSyncStatus de l'application ou du Pilote dépendant avant d'éditer les valeurs localisées du nom de l'application, à l'aide de la liste développée des langues. Une fois cette liste développée, les sélecteurs d'objets utilisés dans les paramètres détaillés ne s'affichent plus.

Pour corriger les problèmes d'affichage associés aux sélecteurs d'objets, fermez la fenêtre des paramètres en annulant l'édition, ou enregistrez les détails incomplets, puis ouvrez de nouveau les paramètres. Les sélecteurs d'objets devraient fonctionner correctement.

1.29 Certains champs n'affichent pas les messages de validation

Un message de validation doit s'afficher lorsque des valeurs ne sont pas valides mais n'apparaît pas dans certains cas, comme pour les champs de la fenêtre Assignation de ressource ou Pourcentage du quorum d'approbation. C'est le cas, par exemple, après que l'utilisateur a cliqué sur Effacer, puis sur Soumettre, ou s'il entre les caractères %, $ ou -.

1.30 Les boutons de navigation ne sont pas localisés dans l'IU de l'administration SSO

Dans la section Administration -> SSO (Single Sign-On) de l'application utilisateur, les boutons de navigation pour Certificat de signature et Clé de signature dans la zone Configuration du contrôleur SSO et Fournisseurs SSO ne sont pas localisés. Ces boutons apparaissent toujours en anglais (par ex., Browse).

Une version entièrement localisée du navigateur doit être installée (c.-à-d. la version complète en espagnol de FireFox ou Internet Explorer). Si vous changez simplement la langue du navigateur de l'anglais vers une autre langue, ces commandes HTML ne sont pas traduites. En effet, celles-ci ne sont pas contrôlées par l'application utilisateur mais par le navigateur. Il s'agit du comportement par défaut des commandes HTML.

1.31 Des clics rapides engendrent des erreurs d'affichage

Lors d'une navigation rapide, des erreurs de chargement de données occasionnelles peuvent s'afficher dans l'application utilisateur. Ce comportement s'explique par le fait que la commande AJAX ne peut pas effectuer ses appels au serveur.

1.32 L'administration de rapports n'est pas encore mise en oeuvre

Le rôle système Administrateur de rapports introduit dans cette version n'est pas encore mis en oeuvre. Il est disponible pour assignation dans le catalogue de rôles, mais si vous tentez de l'assigner, vous générez une exception d'exécution. Dans l'interface utilisateur, rien ne se produit lorsque l'assignation est demandée.

La fonctionnalité du rôle Administrateur de rapports sera mise en oeuvre dans une prochaine version.

1.33 Les gestionnaires d'équipe ne peuvent pas créer d'assignations de délégués par relation

Il est impossible pour un gestionnaire d'équipe de créer des assignations de délégués en utilisant le type d'assignation Assigner par relation. Seuls les gestionnaires de provisioning auxquels ont été assignées des autorisations explicites d'effectuer des assignations de délégués pour une définition de requête de provisioning (PRD - Provisioning Request Definition) peuvent créer une assignation de ce genre pour cette PRD en utilisant le type Assigner par relation.

1.34 Le plug-in PDF est requis pour exécuter les rapports sur les rôles

L'exécution d'un rapport sur les rôles génère un PDF. Si le navigateur n'est pas équipé du plug-in PDF, vous êtes invité à enregistrer un fichier et devez spécifier son nom. Pour éviter cette situation, vérifiez que le plug-in Adobe PDF est installé avant d'exécuter le rapport.

1.35 L'organigramme n'affiche pas d'images dans la version imprimable

L'organigramme n'affiche pas d'images dans la version imprimable. Si l'icône d'impression est sélectionnée sur le portlet de l'organigramme, la version imprimable affiche l'organigramme de manière approprié mais n'inclut pas les images de l'utilisateur.

1.36 L'application utilisateur n'affiche pas de résultats si le nombre de résultats par défaut est zéro

Si l'administrateur de configuration définit la valeur Nombre de résultats affichés par page par défaut sur zéro dans la page Paramètres d'affichage de l'IU de provisioning sous l'onglet Administration, la page Tableau de bord de travail n'affiche pas les détails des notifications de tâches, des assignations de ressources et de rôles ni de l'état de la requête. De plus, les pages Catalogue de rôles, Catalogue de ressources et Catalogue SoD sous l'onglet Rôles et ressources, ainsi que la page Assignations de l'administrateur sous l'onglet Administration, n'affichent aucun résultat.

Si le Nombre de résultats affichés par page par défaut est défini sur zéro, les pages susmentionnées devraient afficher tous les résultats et le nombre de résultats présentés par page par défaut devrait être de zéro. Or, les pages n'affichent aucun résultat et le navigateur se bloque lorsque vous développez la section État de la requête sur le tableau de bord de travail.

1.37 L'application utilisateur affiche une erreur de compatibilité SSO au démarrage

Si vous définissez le niveau de consignation JAASManager sur TRACE dans la page Administration>Mise en cache, puis redémarrez l'application utilisateur, le message d'erreur suivant s'affiche dans la trace de pile :

com.novell.common.auth.saml.ConfigureException: Failed to initialize SSO due to
improper environment.
    at
com.novell.common.auth.saml.AuthTokenGenerator.<init>(AuthTokenGenerator.java:82)
    at
com.novell.common.auth.saml.AuthTokenGeneratorFilter.init(AuthTokenGeneratorFilter.java:281)

Les étapes suivantes permettent de résoudre ce problème :

  1. Supprimez du dossier système WebLogic les fichiers JAR opensaml en conflit :

    ./bea/modules/com.bea.core.bea.opensaml_1.0.0.0_5-0-2-0.jar
    ../bea/modules/com.bea.core.bea.opensaml2_1.0.0.0_5-0-2-0.jar
    
  2. Approuvez la mise en oeuvre Apache JAXP :

    ../bea/jrockit_160_05/jre/lib/endorsed
    
    -rw-r--r-- 1 lab lab   84091 May 21 10:24 resolver-2.9.1.jar
    -rw-r--r-- 1 lab lab  278286 May 21 10:24 serializer-2.9.1.jar
    -rw-r--r-- 1 lab lab 3176148 May 21 10:24 xalan-2.7.1.jar
    -rw-r--r-- 1 lab lab 1229289 May 21 10:24 xercesImpl-2.9.1.jar
    -rw-r--r-- 1 lab lab  194354 May 21 10:24 xml-apis-2.9.1.jar
    

Vous pouvez télécharger les fichiers JAR susmentionnés depuis Apache ou les obtenir à partir du dossier approuvé contenu dans http://shibboleth.internet2.edu/downloads/opensaml/java/2.2.0/opensaml-2.2.0-bin.zip.

1.38 Prise en charge d'un lecteur d'écran

Le lecteur d'écran NVDA 0.6p3 a été utilisé lors du test d'accessibilité.

1.39 L'erreur EboClusterManager peut être constatée dans les grappes

Une erreur EboClusterManager peut être constatée dans des environnements en grappes. Elle est due à une notification de cache qui est envoyée aux serveurs dans la grappe pour supprimer une clé, alors que cette dernière n'existe pas dans le cache distant.

1.40 NrfCaseUpdate ne peut pas utiliser une adresse IP

Le Guide d'installation décrit la procédure d'utilisation d'une adresse IP pour se connecter au serveur eDirectory lors de l'exécution de l'utilitaire NrfCaseUpdate. Toutefois, l'utilisation d'une adresse IP ne fonctionne pas. L'utilitaire NrCaseUpdate demande en particulier le nom DNS du serveur eDirectory :

Specify the DNS address of the Identity Vault (e.g acme.com)

Si une adresse IP est fournie, le processus NrfCaseUpdate se poursuit et signale que la mise à jour est terminée. Néanmoins, si vous consultez le fichier schema.log (sous Linux ou Solaris) ou Modschema.log (sous Windows), vous remarquez qu'en réalité, le schéma n'a pas été mis à jour. De même, si vous examinez les deux attributs (nrfLocalizedNames et nrfLocalizedDescrs) avec iManager ou ConsoleOne, vous constatez que leur état est toujours Chaîne respectant la casse plutôt que Chaîne ignorant la casse.

Si le schéma avait été mis à jour, vous obtiendriez une entrée similaire à celle qui suit :

Windows:

Begin schema update for: C:\Program Files\Novell\Identity
Manager\update-nrf-case.sch
(Note: Successfully resolved to server: .myserver-NDS.novell.myTREE)
Modifying schema attributes...
(Note: Successfully resolved to server: .myserver-NDS.novell.myTREE)
  : Different from existing definition, will attempt to modify
    Syntax: Modified OK
  : Different from existing definition, will attempt to modify
    Syntax: Modified OK
Schema update summary: 0 warnings and 0 errors
Linux:

Starting schema update for: update-nrf-case.sch...
Modified schema attribute nrfLocalizedNames.Modified schema attribute
nrfLocalizedDescrs.

Seul le nom de la machine (par exemple : myserver) ou le nom complet (par exemple : myserver.novell.com) peut être utilisé avec l'utilitaire NrfCaseUpdate.

1.41 Problème de l'utilitaire NrfCaseUpdate avec Windows 2003 Server SP1

Dans certaines instances sous Windows 2003 Server SP1, le schéma pour nrfLocalizedNames et nrfLocalizedDescrs n'est pas modifié à la fin de l'exécution de l'utilitaire NrfCaseUpdate. L'utilitaire signale que le processus est terminé. Toutefois, aucune entrée dans le fichier Modschema.log n'indique que le schéma a été modifié. Si la mise à jour avait modifié le schéma, une entrée similaire à celle qui suit figurerait dans le fichier Modschema.log :

Begin schema update for: C:\Program Files\Novell\Identity
Manager\update-nrf-case.sch
(Note: Successfully resolved to server: .myserver-NDS.novell.myTREE)
Modifying schema attributes...
(Note: Successfully resolved to server: .myserver-NDS.novell.myTREE)
  : Different from existing definition, will attempt to modify
    Syntax: Modified OK
  : Different from existing definition, will attempt to modify
    Syntax: Modified OK
Schema update summary: 0 warnings and 0 errors

De même, si vous examinez les deux attributs (nrfLocalizedNames et nrfLocalizedDescrs) avec iManager ou ConsoleOne, vous constatez que leur état est toujours Chaîne respectant la casse plutôt que Chaîne ignorant la casse.

Deux solutions sont possibles pour éviter ce problème :

  • Procédez à une mise à niveau vers Windows 2003 Server SP2.

  • Si le processus NrfCaseUpdate susmentionné a échoué et si les deux attributs n'ont pas été modifiés, vous devez importer la modification de schéma à l'aide du fichier install.dim avant de procéder à l'importation du fichier LDIF (le cas échéant) ou à l'installation :

    1. Sélectionnez Démarrer -> Panneau de configuration -> Services Novell eDirectory -> install.dlm.

    2. Sélectionnez Installer d'autres fichiers de schéma et cliquez sur Suivant.

    3. Entrez les informations de connexion à votre serveur eDir et cliquez sur OK.

    4. Naviguez et sélectionnez le fichier update-nrf-case.sch, puis cliquez sur Terminer.

1.42 L'installation ne parvient pas à créer un schéma de base de données en mode Console pour les paramètres régionaux en français et MS SQL

Les tables des bases de données ne sont pas créées si l'installation est effectuée en mode Console, en français et avec Microsoft SQL Server 2005. Une erreur similaire à celle qui suit figure alors dans le fichier db.out :

SEVERE: null
liquibase.exception.JDBCException: java.lang.ClassNotFoundException: null
    at
liquibase.commandline.CommandLineUtils.createDatabaseObject(CommandLineUtils.java:97)
    at liquibase.commandline.Main.doMigration(Main.java:578)
    at liquibase.commandline.Main.main(Main.java:97)
Caused by: java.lang.ClassNotFoundException: null

Deux solutions sont possibles pour éviter ce problème :

  • Exécutez le programme d'installation en mode Graphique plutôt qu'en mode Console.

  • Si le mode Console est utilisé pour l'installation, procédez comme suit :

    1. Créez les tables des bases de données :

      1. Ouvrez le fichier Novell-Custom-Install.log, situé au niveau de la racine du répertoire d'installation de l'application utilisateur. Par exemple : /home/lab/IDM370/idm

      2. Recherchez une entrée similaire à celle qui suit :

        **************************************************
        If a failure is encountered while creating the tables, verify that this string
        is correct
        If not , you can modify this string and copy/paste to a command line to run
        **************************************************
        
      3. Copiez la commande spécifiée et collez-la dans un terminal de la machine sur laquelle l'application utilisateur est installée.

        1. Remplacez la valeur nulle de --databaseClass= par la valeur correcte :

          --databaseClass=com.novell.soa.persist.MSSQLUnicodeDatabase 
          
        2. Remplacez la valeur nulle de --driver= par la valeur correcte :

          --driver=com.microsoft.sqlserver.jdbc.SQLServerDriver 
          

          Remplacez la valeur nulle de --url= par la valeur correcte : Par exemple :

          --url=jdbc:sqlserver://myserver.novell.com:1433;DatabaseName=mydatabase
          
        3. Vous devez remplacer les étoiles (*) correspondant au nom d'utilisateur et au mot de passe de la base de données par les valeurs réelles.

      4. Appuyez sur Entrée. Des tables ou un fichier sql est créé, selon l'option sélectionnée lors de l'installation.

    2. Éditez la réserve de connexions JBoss JDBC (le cas échéant) :

      1. Ouvrez le fichier %context%-ds.xml (par exemple : IDM-ds.xml) situé dans le répertoire de déploiement. Par exemple :

        /home/lab/IDM370/idm/jboss/server/IDM/deploy
        
      2. L'URL de connexion qui apparaît est similaire à celle qui suit :

        <connection-url>myserver.novell.com:1433mydatabase</connection-url>
        
      3. Modifiez l'URL de connexion pour obtenir les informations appropriées. Par exemple :

        <connection-url>jdbc:sqlserver://myserver.novell.com:1433;DatabaseName=mydatabase</connection-url>
        
      4. Enregistrez et fermez le fichier.

1.43 Le compteur de logins bonus n'est pas correct lors du traitement des en-têtes Auth pour SSO

Si la passerelle d'accès est placée devant l'application utilisateur et si SSO est activé, le nombre de logins bonus autorisés risque d'être réduit de 2 par login, au lieu de 1 sans la passerelle d'accès. Si le mot de passe d'un utilisateur expire, l'interface invite l'utilisateur à modifier son mot de passe. L'utilisateur doit suivre les instructions qui s'affichent et modifier son mot de passe.

1.44 Le rapport d'associations ne fonctionne pas pour les gestionnaires d'équipes

Le rapport d'associations ne fonctionne que pour les administrateurs et les utilisateurs de base, pas pour les gestionnaires d'équipes. Si l'administrateur configure les paramètres de sécurité du rapport d'associations et s'il le rend accessible à tous, un utilisateur de base peut se loguer et afficher son rapport d'associations sans aucun problème. Par contre, lorsqu'un gestionnaire d'équipe se logue, l'utilisateur ne peut pas utiliser l'icône de recherche pour rechercher un membre de l'équipe et en afficher le rapport d'associations.

1.45 Les symboles Supérieur à et Inférieur à ne sont pas pris en charge dans les CN des utilisateurs

La version actuelle de l'application utilisateur ne prend pas en charge l'utilisation des symboles < et > dans le CN des utilisateurs ou dans les attributs de login, par exemple workforceID. L'utilisation des symboles < et > provoque des dysfonctionnements de la fonction de mot de passe en libre-service.

1.46 Le serveur ne démarre pas si OpenXDAS est activé et si xdasd ne s'exécute pas

Si l'application utilisateur est configurée pour la consignation Audit via OpenXDAS, l'application ne se déploie pas correctement si le xdasd n'est pas en cours d'exécution. Le message d'erreur suivant apparaît dans la console du serveur :

2008-05-03 13:46:48,308 ERROR [com.sssw.fw.servlet.Boot:contextInitialized]
Un>com.novell.srvprv.spi.util.servlet.LogConfiguratorException: Error
Initialize >        at
com.novell.srvprv.spi.util.servlet.LogConfigurator.init(LogConfigur>        at
com.sssw.fw.servlet.InitListener.contextInitialized(InitListener.ja>        at
org.apache.catalina.core.StandardContext.listenerStart(StandardCont>        at
org.apache.catalina.core.StandardContext.start(StandardContext.java>        at
org.apache.catalina.core.ContainerBase.addChildInternal(ContainerBa>        at
org.apache.catalina.core.ContainerBase.addChild(ContainerBase.java:>        at
org.apache.catalina.core.StandardHost.addChild(StandardHost.java:55>        at
sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
        at java.lang.reflect.Method.invoke(Unknown Source)
        at org.apache.tomcat.util.modeler.BaseModelMBean.invoke(BaseModelMB

Then hundreds of:

2008-05-03 13:46:53,072 WARN  [com.novell.soa.af.impl.core.EngineImpl:run]
Fai>java.lang.NullPointerException
        at com.novell.soa.af.impl.persist.EngineStateDAO.updateHeartbeat(Engin>
       at com.novell.soa.af.impl.core.EngineImpl$HeartbeatTimer.run(EngineImp> 
      at java.lang.Thread.run(Unknown Source)
2008-05-03 13:46:53,072 INFO  [STDOUT:warn] XDas was not enabled

Il peut en outre y avoir une boucle infinie provoquée par un thread de pulsation de workflow à l'origine d'une exception de pointeur nul.

Sous WebSphere, l'application utilisateur démarre même en cas d'exception lancée par OpenXDAS.

Pour contourner ce problème, utilisez l'une des procédures ci-dessous :

  • Démarrez le processus xdasd et redémarrez le serveur d'applications.

  • Supprimez la référence OpenXDAS appender-ref du fichier idmuserapp_logging.xml (<appender-refref="OpenXDas"/>).

1.47 Le texte qui suit un symbole Inférieur à est tronqué dans le nom des pages de conteneur ou des pages partagées

L'interface utilisateur ne limite pas l'utilisation du symbole Inférieur à (<). Toutefois, si le nom d'une page comporte un caractère <, ce nom ne s'affiche pas correctement dans la console Administration des pages. Le nom de la page est tronqué à partir du caractère < dans la liste des pages et dans le champ Nom de la page. Par exemple, <Page affiche une ligne vide dans la liste des pages et rien dans le champ Nom de la page. Le nom Pa<ge affiche Pa dans la liste des pages, de même que dans le champ Nom de la page.

Le nom de la page ne s'affiche pas correctement dans le portlet de navigation.

1.48 Le mode protégé doit être désactivé dans Internet Explorer 7.0 pour la prise en charge de la signature numérique

Si vous exécutez l'applet de signature numérique avec la version Windows Vista de Internet Explorer 7.0, le message d'erreur suivant peut s'afficher :

"The application's Digital Signature has an Error. Do you want to run the Application?" 

Pour résoudre ce problème, vous devez désactiver le mode protégé dans Internet Explorer.

2.0 Problèmes résolus dans la version 3.7

Cette section comprend une liste des problèmes décrits dans le fichier lisezmoi de la version 3.6.1 du module de provisioning basé sur les rôles d'IDM et résolus dans la version 3.7.

  • 1.1.4 Configuration d'une base de données MS SQL Server pour l'application utilisateur

  • 1.2 Le programme d'installation Cryptovision fait référence à une version incorrecte de l'application utilisateur

  • 1.11 L'utilisation de caractères spéciaux dans le nom d'un rôle engendre un rapport de rôles vide

  • 1.12 Les messages d'erreur XSS ne sont pas informatifs

  • 1.14 L'accès au fichier WAR de mot de passe externe engendre une exception si le fichier log4j.jar n'est pas inclus

  • 1.16 L'application utilisateur sur WebSphere ne parvient pas à trouver le chemin de la zone de stockage approuvée

  • 1.17 La signature numérique ne peut pas être vérifiée en cas d'utilisation de xmlsigner 1.4

3.0 Conventions relatives à la documentation

Dans cette documentation, le signe supérieur à (>) est utilisé pour séparer les opérations d'une même procédure ainsi que les éléments d'un chemin de renvoi.

Un symbole de marque (®, ™, etc.) indique une marque de Novell®. Un astérisque (*) indique une marque commerciale de fabricant tiers.

4.0 Mentions légales

Novell, Inc. exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.

Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.

Tous les produits ou informations techniques fournis dans le cadre de ce contrat peuvent être soumis à des contrôles d'exportation aux États-Unis et à la législation commerciale d'autres pays. Vous acceptez de vous conformer à toutes les réglementations de contrôle des exportations et à vous procurer les licences requises ou la classification permettant d'exporter, de réexporter ou d'importer des biens de consommation. Vous acceptez de ne pas procéder à des exportations ou à des réexportations vers des entités figurant sur les listes d'exclusion d'exportation en vigueur aux États-Unis ou vers des pays terroristes ou soumis à un embargo par la législation américaine en matière d'exportations. Vous acceptez de ne pas utiliser les produits livrables pour le développement prohibé d'armes nucléaires, de missiles ou chimiques et biologiques. Reportez-vous à la page Web des services de commerce international de Novell pour plus d'informations sur l'exportation des logiciels Novell. Novell décline toute responsabilité dans le cas où vous n'obtiendriez pas les autorisations d'exportation nécessaires.

Copyright © 2008 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.

Novell, Inc. est titulaire des droits de propriété intellectuelle relatifs à la technologie intégrée au produit décrit dans ce document. En particulier et sans limitation, ces droits de propriété intellectuelle peuvent inclure un ou plusieurs brevets américains mentionnés sur le site Web de Novell relatif aux mentions légales (en anglais) et un ou plusieurs brevets supplémentaires ou en cours d'homologation aux États-Unis et dans d'autres pays.

Pour connaître les marques commerciales de Novell, reportez-vous à la liste des marques commerciales et des marques de service de Novell.

Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.